• italian
  • lawyer
  • tech
  • crypto
  • nerd
Loaded

Che cosa è il DORA: guida al Digital Operational Resilience Act – Episodio 1

Post Image
Il Digital Operational Resilience Act (DORA)

Nel corso degli ultimi anni la tecnologia ha assunto un ruolo sempre più centrale nella fornitura di servizi finanziari, sia per le operazioni più semplici e tradizionali, sia nell’ambito dei servizi più innovativo (e.g. Fintech, servizi peer-to-peer ecc.).

Il ricorso a strumenti digitali non ha solamente portato con sé numerosi vantaggi ma anche importanti rischi, in particolare quelli legati agli incidenti e attacchi informatici. La portata di questi episodi è inoltre aumentata a causa della maggiore interconnessione tra le infrastrutture finanziarie all’interno dell’Unione europea.

Il legislatore europeo ha pertanto adottato il regolamento (UE) 2022/2554 (c.d. digital operational resilience act o “DORA”) in materia di resilienza operativa digitale per il settore finanziario.

Obiettivi del DORA

Il regolamento si impone di creare un regime armonizzato per ottenere un maggiore livello di sicurezza dei sistemi informatici nel settore finanziario, elemento ritenuto ormai di importanza pari alle disposizioni sulla stabilità del mercato.

L’approccio adottato in questa nuova normativa è diverso dal tradizionale approccio quantitativo di gestione del rischio. Tradizionalmente, infatti, le disposizioni europee prevedevano che le entità finanziarie si dotassero di capitali a copertura dei rischi informatici. Il DORA invece impone alle entità finanziarie di gestire dotarsi di specifici sistemi di gestione dei rischi (anche provenienti da terzi) e dei gli incidenti informatici.

Destinatari dal DORA

Il regolamento è dedicato a diversi tipo di entità finanziarie.

Tra queste figurano operatori tradizionali, tra i quali banche, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, società di gestione, imprese assicurative, fornitori di servizi di crowdfunding e sedi di negoziazione.

Da questi sono escluse alcune imprese a causa delle loro dimensioni ridotte, come gli enti pensionistici aziendali o professionali che gestiscono schemi pensionistici che contano congiuntamente non più di 15 aderenti in totale, gli intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio che sono microimprese o piccole o medie imprese o persone fisiche o giuridiche esentate ai sensi della direttiva Mifid II.

Sono inoltre inclusi nel novero delle entità finanziarie i fornitori di servizi su cripto-attività autorizzati ai sensi del regolamento 1114/2023, c.d. Regolamento MiCA (i “VASP”).

L’estensione dell’ambito di applicazione del DORA ai VASP risponde alla necessità di limitare i rischi informatici in un ambito particolarmente delicato. Il settore della finanza decentralizzata, l’utilizzo dei wallet e il ricorso a servizi innovativi (e.g. cloud mining, trading di criptovalute, staking, lending, farming, ecc.) comportano il ricorso a sistemi informatici complessi (e.g. i sistemi basati su smart contract) e potenzialmente esposti a maggiori rischi, anche a causa delle maggiori difficoltà di utilizzo da parte di utenti più inesperti.

La regolamentazione sulle criptovalute mira quindi a proteggere i consumatori da diversi tipi di rischio, inclusi appunto quelli connessi ai sistemi informatici.

Il regolamento non impone obblighi solamente in capo alle entità finanziarie, ma anche sui fornitori terzi di servizi informatici. Sono quindi stabiliti alcuni principi fondamentali che indirizzino la gestione, da parte delle entità finanziarie, dei rischi informatici derivanti da terzi, che sono di particolare importanza quando le entità finanziarie ricorrono a questi a supporto delle loro funzioni essenziali o importanti.

Contenuto del DORA

Fondamentalmente, il DORA impone alle entità finanziarie di (i) prevedere sistemi di governance idonei alla gestione di rischi informatici, (ii) gestione degli incidenti informatici, (iii) testing della resilienza operativa digitale e (iv) la gestione dei rischi informatici derivanti dai terzi.

  1. Sistemi di governance

L’organo di gestione dell’entità finanziaria è individuato come l’ente responsabile per la corretta gestione dei rischi informatici e per l’adozione delle disposizioni necessarie per la conformità al regolamento.

Tra queste rientra l’obbligo di adottare un quadro per la gestione dei rischi informatici che includa almeno strategie, politiche, procedure, protocolli e strumenti necessari per la protezione del patrimonio informatico.

Le entità finanziarie sono altresì tenute a mappare ed aggiornare i propri sistemi informatici al fine di renderli resilienti, affidabili, idonei e dotati di sufficiente capacità per lo svolgimento delle attività. Le stesse devono inoltre condurre valutazioni continue del rischio sui sistemi ICT, documentando e classificando le minacce informatiche e registrando le azioni intraprese per mitigare i rischi identificati.

All’interno del processo di valutazione dei rischi, è importante effettuare analisi dell’impatto sul business al fine di valutare come scenari gravi e specifici di interruzione potrebbero influenzare le operazioni aziendali.

Le entità finanziarie devono altresì istituire piani di continuità operativa e di ripristino da disastri per affrontare diversi scenari di rischio informatico (e.g. attacchi cyber, malfunzionamenti dei servizi informatici, eventi naturali catastrofici). Questi piani devono comprendere procedure per il backup e il ripristino dei dati, processi per il ripristino dei sistemi e piani di comunicazione con i diversi stakeholder.

  1. Gestione degli incidenti informatici

Alle entità finanziarie è richiesto di definire, stabilire e attuare un processo di gestione degli incidenti connessi ai sistemi informatici al fine di individuare, gestire e notificare tali incidenti. Questi devono essere registrati, monitorati e documentati, in modo da prevenirne il verificarsi.

Tali processi includono, tra gli altri, i meccanismi di allerta, i ruoli e le responsabilità, le forme di comunicazione e le procedure di risposta.

Le entità finanziarie devono inoltre classificare gli incidenti sulla base dei criteri forniti dal DORA e devono segnalare gli incidenti informatici gravi alle autorità competenti. In particolare, le entità devono fornire tre tipi di rapporti: una notifica iniziale alle autorità, un aggiornamento sui progressi compiuti per risolvere l’incidente e un rapporto finale che analizza le cause principali dell’incidente.

  1. Test di resilienza operativa digitale

È inoltre imposto un obbligo alle entità finanziarie di stabilire, mantenere e riesaminare un programma di test di resilienza operativa digitale solido ed esaustivo quale parte integrante del quadro per la gestione dei rischi informatici. Ciò risponde all’obiettivo di identificare punti deboli, carenze e lacune della resilienza operativa digitale e di attuare tempestivamente misure correttive.

La valutazione comprende, tra gli altri, l’esecuzione di test adeguati, tra cui valutazione e scansione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di scansione del software, esami del codice sorgente, ove fattibile, test basati su scenari, test di compatibilità, test di prestazione, test end-to-end e test di penetrazione.

  1. Gestione dei rischi informatici derivanti da terzi

Il DORA non si limita a imporre obblighi relativi ai rischi informatici propri delle entità finanziarie, ma anche in merito a quelli derivanti dai fornitori terzi di servizi tecnologici.

In particolare, le entità finanziarie finanziarie che hanno stipulato accordi contrattuali per l’utilizzo di servizi informatici per lo svolgimento delle proprie operazioni commerciali rimangono sempre pienamente responsabili del rispetto e dell’adempimento di tutti gli obblighi previsti dal regolamento.

Inoltre, le stesse devono gestire i rischi informatici derivanti dal rapporto con i terzi e dai relativi contratti, soprattutto quelli che hanno un impatto sui servizi essenziali (sulla base del principio di proporzionalità).

Quando le istituzioni finanziarie decidono di affidare a terzi funzioni informatiche (c.d. outsourcing), devono negoziare accordi contrattuali dettagliati che includano disposizioni riguardanti, ad esempio, i diritti di risoluzione, i livelli di servizio (c.d. SLA), le procedure di verifica e gli obiettivi prestazionali per garantire l’accessibilità, l’integrità e la sicurezza dei servizi.

Se poi l’accordo riguarda funzioni ritenute critiche ed essenziali, sono richieste disposizioni più stringenti (ad esempio relative ad obblighi di monitoraggio e di cooperazione o in materia di predisposizione di piani di emergenza).

Ove il soggetto terzo non sia in grado di rispettare tali requisiti, è fatto divieto alle istituzioni finanziarie di concludere il contratto.

Inoltre, le istituzioni finanziarie dovranno tracciare attentamente le loro relazioni di dipendenza dai servizi informatici con terze parti e garantire che le funzioni critiche e cruciali non siano eccessivamente dipendenti da un singolo fornitore o da un ristretto gruppo di fornitori.

Tempistiche

Il DORA è entrato in vigore nel gennaio 2023 e da allora le istituzioni europee stanno pubblicando le bozze di standard tecnici.

L’applicazione del regolamento, con la relativa supervisione delle autorità, partirà dal 15 gennaio 2025.

Se hai bisogno di assistenza, puoi visitare la nostra pagina dedicata o contattarci direttamente.

Facebook
Telegram
LinkedIn
WhatsApp

    Prev
    Come organizzare una manifestazione a premi in una Sala LAN: 5 aspetti legali da considerare
    Next
    La tokenizzazione: cosa è e come si struttura in 4 step
    • No Comments
    Comments are closed.